PowerBI开发 第十五篇:Power BI的行级安全
Power BI支持行级安全(Row-Level Security,RLS)的权限控制,用于限制用户对Dashboard、报表和DataSet的访问。用户浏览的报表是相同的,但是看到的数据却是不同的。
RLS内部通过DAX函数 username() 和 userprincipalname()来实现,RLS使得PowerBI能够在行级别上对用户访问的数据进行限制。这两个函数在PowerBI Desktop中返回的都是用户的信息,只不过格式不同:
- username() :返回 domain\user_name
- userprincipalname() :返回 user_name@domain.com
这两个函数在PowerBI Service中返回的格式是相同的:user_name@domain.com。如果需要发布到PowerBI Service中,建议使用 userprincipalname()函数来创建过滤规则。
一,实现RLS的组件
RLS的主要组件是:Users、Roles和Rules。用户访问数据时,RLS按照角色中定义的规则对用户的访问进行控制。
- Users:浏览报表的用户,使用user name 或 email address 来唯一标识。
- Roles:用户属于Role,一个角色是一个Rule的容器。
- Rules:规则(Rule)是过滤数据的断言(Predicate)。
在PowerBI Desktop中创建角色和规则,当发布到PowerBI Service中时,角色和规则也会发布到PowerBI Service中,报表开发人员需要在PowerBI Service中对DataSet的Security进行配置。
二,创建用户权限表和关系
实现RLS的关键一步是配置用户权限表,用户权限表用于指定用户有权限访问的数据,而关系是RLS能够起作用的基础,通过关系的交叉过滤功能实现用户访问数据的行级控制。
举个例子,有如下用户权限表:
在本例中,我们在规则中使用userprincipalname()函数,UserName列是用户的邮件地址,Product列是用户可以访问的产品类型,一个User可以访问多个Product。该表和DimProductCategory创建关系时,设置为“many to 1”的双向关系,通过UserName来过滤用户可以访问的Product。
三,创建角色和规则
有了用户权限配置表之后,接下来就是创建角色和规则,角色是用户的集合,角色中的所有用户遵守相同的规则;规则是定义用户是否有访问数据的权限。
在Modeling 选项卡中,选择“Manager Roles”:
点击“Create”按钮,创建一个Role,并命名角色。从Tables列表中添加Filter,在“Table filter DAX expression” 中输入DAX表达式,也就是创建规则,用于对用户进行过滤:
为了确保规则的正常运行,点击“View as Roles”,查看规则运行的情况:
也可以选择Other user,输入一个用户名称,检查规则对该用户产生的效果。
四,管理角色和规则
在创建角色时,可以创建一个admin的角色,可以访问所有的数据,设置DAX表达式:
UserName='admin@domain.com'
对于其他用户,其访问数据的权限受到限制,创建常规的角色,设置DAX表达式:
UserName = userprincipalname()
把PowerBI发布到PowerBI Service中,需要在数据模型中管理RLS。在PowerBI Service的Datasets中,点击Security,把用户添加到角色中:
把用户或用户组添加到角色中,用户组中的用户有权限访问报表。在访问报表时,userprincipalname()函数返回的是用户的邮件地址,而不是用户组的邮件地址,从而实现用户的权限控制:
报表管理人员,可以创建一个用户组,把用户组添加到角色中,并通过用户组来管理User对报表的访问,以实现RLS。
参考文档:
Row-level security (RLS) with Power B
USERPRINCIPALNAME – show user name and use it in RLS (DAX – Power Pivot, Power BI)